ISO 22301是业务连续性管理体系标准,在招投标过程中其认证审核流程一般如下:
一、认证申请阶段
1. 企业自评
企业首先需要依据ISO 22301标准的要求,对自身的业务连续性管理体系进行自我评估。这包括对业务影响分析(BIA)、风险评估、恢复策略制定等方面的检查。例如,企业要确定关键业务流程,如对于一家电商企业,其订单处理和支付系统就是关键业务流程,评估这些流程中断可能带来的损失和影响程度。
检查现有的资源和能力是否能够支持业务连续性计划的实施,包括人力资源、技术设施、数据备份等方面。比如,企业的数据中心是否有足够的冗余设备来应对服务器故障等情况。
2. 选择认证机构
企业要挑选一家合适的认证机构。需要考虑认证机构的信誉、资质和经验。可以查看认证机构在业界的口碑,其是否被认可为权威的认证机构,是否拥有熟悉ISO 22301标准的专业审核团队。例如,一些国际知名的认证机构在全球范围内被广泛认可,其审核人员经过严格的培训和资格认证。
向认证机构咨询认证费用、审核时间安排等具体细节,确保符合企业的预算和时间要求。不同认证机构的收费标准可能因服务范围、企业规模等因素而有所差异。
3. 提交认证申请
企业向选定的认证机构提交正式的认证申请文件。这些文件通常包括企业的基本信息,如组织架构、业务范围、联系方式等。
还需要提供有关业务连续性管理体系的文档,如业务连续性政策、业务影响分析报告、风险评估报告、业务连续性计划等。认证机构会对申请文件进行初步审查,检查文件是否完整和符合基本要求。
二、第一阶段审核(文件审核)
1. 文件审查
认证机构的审核人员会详细审查企业提交的业务连续性管理体系文件。他们会检查文件是否符合ISO 22301标准的要求,包括文件的完整性和准确性。例如,审核人员会查看业务影响分析是否涵盖了所有关键业务流程,风险评估方法是否科学合理。
对文件中的政策、程序和计划进行评估,看其是否能够有效地指导企业实施业务连续性管理。如业务连续性计划是否明确了在发生中断事件时各部门的职责和恢复的时间目标。
2. 问题反馈与沟通
如果审核人员在文件审查过程中发现问题或不符合项,他们会及时与企业进行沟通。反馈的方式可能包括书面通知或电话会议等。企业需要对这些问题进行整改,并向审核人员提供整改的证据。例如,若发现业务连续性计划中某一恢复流程描述不清晰,企业需要重新修订该部分内容,并将修订后的计划提交给审核人员复查。
审核人员还会与企业沟通审核的范围和重点,确保企业清楚下一阶段现场审核的主要内容和要求。
三、第二阶段审核(现场审核)
1. 首次会议
审核人员与企业的管理层和相关部门负责人召开首次会议。在会议上,审核人员介绍现场审核的目的、范围、日程安排和审核方法。例如,说明将对哪些部门和业务流程进行现场检查,审核过程中可能采用的检查方式包括访谈、文件查阅、实地观察等。
企业代表介绍业务连续性管理体系的运行情况,包括体系的建立过程、主要措施的实施情况等。这有助于审核人员更好地了解企业的实际情况。
2. 现场检查
审核人员会通过访谈的方式,与企业各个部门的员工进行交流。例如,询问IT部门在应对数据丢失事件时的应急措施,以及他们是否熟悉自己在业务连续性计划中的职责。
查阅文件和记录,包括业务影响分析的原始数据、风险评估的记录、应急演练的报告等。查看这些文件是否真实有效,是否能够支持业务连续性管理体系的运行。
实地观察企业的设施和资源,如数据中心的备份设备、应急物资的储备情况等。对于一家制造业企业,审核人员可能会检查生产车间的备用生产线是否能够正常启动,以应对主要生产线故障的情况。
3. 不符合项判定与沟通
如果审核人员发现企业的实际运行情况与ISO 22301标准不符合,他们会判定为不符合项。这些不符合项可能涉及程序执行不到位、资源配置不足等方面。例如,发现企业没有按照规定的频率进行应急演练,或者应急演练的记录不完整。
审核人员会及时与企业沟通不符合项的情况,包括不符合的具体内容、严重程度等。企业需要针对不符合项制定纠正措施计划,明确整改的责任人和时间期限。
4. 末次会议
在完成现场审核后,召开末次会议。审核人员在会议上总结现场审核的情况,包括发现的优点、符合项和不符合项。例如,可能会表扬企业在某些业务流程的备份措施方面做得比较完善,但同时指出在人员培训方面存在的不足。
企业可以就审核结果提出疑问和意见,审核人员会进行解答。审核人员还会告知企业后续的流程,如企业提交纠正措施计划后的跟踪审核安排。
四、认证决定阶段
1. 审核报告编制
认证机构的审核人员根据第一阶段和第二阶段的审核情况,编制详细的审核报告。报告包括企业业务连续性管理体系的整体评价,如是否符合ISO 22301标准的要求。
列出所有的符合项和不符合项,对不符合项的整改情况进行说明(如果企业已经提交了纠正措施计划)。审核报告还会包含对企业业务连续性管理体系的改进建议,例如,建议企业加强对供应链中断风险的评估和应对措施。
2. 认证决定
认证机构的技术委员会或管理层根据审核报告进行认证决定。如果企业的业务连续性管理体系符合ISO 22301标准的要求,且不符合项已经得到有效整改或企业有合理的整改计划,认证机构会授予ISO 22301认证证书。
如果企业存在严重不符合项且无法在规定时间内整改,或者体系整体不符合标准要求,认证机构将不予认证,并向企业说明原因。企业可以在改进后重新申请认证。
五、监督审核与再认证阶段
1. 监督审核
在获得认证证书后,认证机构会定期对企业进行监督审核。一般情况下,监督审核每年至少进行一次。监督审核的内容主要是检查企业是否持续符合ISO 22301标准的要求。
审核人员会重点关注企业对上次审核不符合项的整改效果,以及业务连续性管理体系的变更情况。例如,如果企业新增了一个重要的业务部门或对现有业务流程进行了重大调整,审核人员会检查这些变更是否对业务连续性管理体系产生影响,企业是否相应地更新了体系文件和措施。
2. 再认证
认证证书的有效期一般为三年。在证书到期前,企业需要申请再认证。再认证的流程与初次认证类似,包括文件审核、现场审核等环节。不过,再认证时审核机构会更加关注企业在证书有效期内业务连续性管理体系的持续改进情况,如企业是否根据内外部环境的变化不断优化业务影响分析和风险评估方法等。